Минцифры разрабатывает проект, который введет оборотные штрафы для компаний за утечку персональных данных клиентов. Документ представят в сентябре. В ведомстве поясняют, что мера должна простимулировать бизнес инвестировать в информационную безопасность и защиту личных данных пользователей.
Масштабы утечек растут ежегодно. По данным экспертно-аналитического центра InfoWatch, в первой половине 2022 года число утечек информации ограниченного доступа в мире выросло на 93,2%, в России — на 45,9%.
Такие инциденты не только вредят пользователям, чьи данные попадают в сеть, но и бьют по бизнесу. Мы составили подборку громких утечек этого года, которые нанесли ущерб брендам — финансовый или репутационный.
В СДЭК произошла рекордная утечка данных
Оператор экспресс-доставки посылок в этом году «отличился» несколькими утечками. Самая крупная произошла в июле: по оценкам экспертов кибербезопасности, она затронула 25 млн пользователей и 30 тыс. контрагентов. В Telegram-каналах Infosecurity и «Утечки информации» сообщили, что в сеть выложили три файла, в которых было свыше 250 млн строк с данными компаний и физических лиц, включая электронную почту, телефоны и почтовые адреса.
Другая утечка в СДЭК произошла в феврале, когда инцидент затронул около 19 млн пользователей. Часть пострадавших подали коллективный иск на 2,2 млн рублей. В компании объяснили слив данных масштабной хакерской атакой.
В конце августа в СДЭК подтвердили факт еще одного происшествия: в открытый доступ выложили базу данных пользователей платформы для заказов за рубежом «CDEK.Shopping» и маркетплейса «СДЭК.Маркет». По оценкам, в сеть попали 120 тыс. строк с именами, телефонами и электронной почтой клиентов. Детали произошедшего расследуются.
По мнению экспертов, все инциденты компании — рекорд для российского рынка.
В сети опубликовали карту клиентов «Яндекс.Еда»
1 марта в сервисе «Яндекс.Еда» сообщили, что в сеть утекли персональные данные 58 тыс. клиентов. В открытый доступ попали имена, телефоны, адреса, коды от домофона и суммы покупок за полгода. В числе пострадавших оказались и сотрудники спецслужб. Позже в соцсетях распространили ссылку на сайт, на котором злоумышленники опубликовали интерактивную карту с данными клиентов.
В компании объяснили, что утечка произошла по причине недобросовестных действий одного из сотрудников и назвали инцидент беспрецедентным случаем.
По решению суда, сервис доставки еды оштрафовали на 60 тыс. рублей. А в начале августа Следственный комитет завел уголовное дело по факту утечки персональных данных клиентов — юристы будут добиваться компенсации для пострадавших.
За базу данных пациентов «Гемотест» попросили $2000
В даркнете 1 мая злоумышленники выставили на продажу базу данных клиентов сети медицинских клиник «Гемотест». В ней было более 30 млн строк: фамилия, имя и отчество пациента, дата рождения, адрес, мобильный номер, паспортные данные, СНИЛС. Эксперты предположили, что каждая строка — это одно обращение в лабораторию. За доступ к информации хакеры попросили $2000.
Получить данные лаборатории злоумышленники смогли из-за уязвимости в ИТ-системе. Позднее они предложили продать не только украденную базу, но и информацию о «прорехе», которая позволила совершить атаку. Они сообщили, что в системе содержится информация о 554 млн заказов с результатами анализов, в том числе на ВИЧ.
За утечку персональных данных, суд наложил на «Гемотест» штраф в размере 60 тыс. рублей. В лаборатории вину не признали и просили прекратить дело ввиду отсутствия состава правонарушения.
Uber выплатил за утечку данных $148 миллионов
В июле завершили дело о крупнейшем сливе в Uber: чтобы избежать уголовного преследования, компания официально взяла на себя ответственность за сокрытие утечки данных в 2016 году. Тогда пострадали 57 млн пассажиров и водителей, чьи имена, водительские удостоверения, электронные адреса и номера мобильных телефонов оказались у преступников.
То, что хакеры взломали облачный сервис и похитили данные, стало известно только через год. Так как в Uber долго замалчивали крупное хищение личных данных, началось расследование. Выяснилось, чтобы информация о краже не распространилась, глава служба безопасности выплатил преступникам $100 тысяч.
Чтобы урегулировать претензии властей в связи с массовой потерей личных данных, компании пришлось заплатить $148 млн. Это самая крупная выплата, связанная с делом о краже или потере персональных данных.
Злоумышленники полгода пользовались уязвимостью Twitter
В августе в Twitter подтвердили, что утекли данные более 5,4 млн пользователей сети. Общедоступными стали Twitter ID, имя, фамилия или название организации, телефон и электронная почта. Компания разослала пострадавшим уведомления, в которых посоветовала поменять пароль и включить двухфакторную аутентификацию, чтобы предотвратить несанкционированный вход в систему.
По словам представителей Twitter, из-за обновления кода платформы в июне 2021 года, в работе API соцсети появилась ошибка, связанная с неправильной обработкой настроек конфиденциальности и возможностью спарсить без авторизации Twitter ID и данные аккаунтов пользователей.
Уязвимость позволяла любому проверить адрес электронной почты или номер телефона и узнать, связан ли он с какой-либо учетной записью Twitter. Кроме этого, можно было получить идентификатор аккаунта.
В Twitter узнали о проблеме в начале 2022 года. Разработчики сразу устранили уязвимость, однако, как выяснилось, баг обнаружили злоумышленники и активно его использовали полгода.
Защитить бизнес от неприятных инцидентов помогут DLP-системы. Они распознают действия сотрудников и блокируют активность, связанную с возможной утечкой информации. Благодаря этому, компания получает полноценный инструмент, который обеспечивает информационную безопасность и предотвращает финансовые и репутационные потери.